La crescita delle minacce, l’impatto sulla continuità aziendale, le richieste normative e la necessità di reagire rapidamente agli attacchi stanno portando la sicurezza IT dentro il vivo operativo delle imprese. La cybersecurity incide ormai sulla possibilità di continuare a lavorare, consegnare, rispettare gli impegni, proteggere dati e relazioni. Per questo controlli saltuari e interventi episodici hanno perso efficacia. Le aziende hanno bisogno di un presidio continuo, che riconosca gli attacchi ai primi segnali e intervenga con tecnologie adeguate e competenze specialistiche.
Nel mercato italiano la pressione resta alta. Il Rapporto Clusit 2026 indica che nel 2025 in Italia si sono concentrati il 9,6% degli incidenti cyber gravi censiti a livello mondiale, con 507 casi rilevati e una crescita del 42% rispetto al 2024. Gli attacchi partono spesso da dettagli plausibili per il contesto della vittima, come una mail scritta bene, un accesso cloud già autorizzato, una credenziale rubata o una sessione aperta. Da lì, il danno può arrivare molto velocemente.
Cyberoo, vendor italiano focalizzato sui servizi di cybersecurity gestita, osserva questo scenario lavorando soprattutto con PMI strutturate, aziende mid-market e organizzazioni più grandi, spesso molto dipendenti dal digitale e con superfici d’attacco ampie. Dal SOC dell’azienda arrivano conferme sulla pressione del cybercrime. Le modalità più ricorrenti osservate sono state email compromise e bypass della multifactor authentication nel 40% dei casi, exploit di vulnerabilità nel 35% e infostealer nel 25%. A questi fenomeni si aggiungono phishing sempre più credibili, attacchi alla supply chain, sfruttamento più rapido delle vulnerabilità che in passato e uso industriale dell’AI generativa da parte degli aggressori.
“Non siamo più davanti a episodi isolati – commenta Veronica Leonardi, Executive Board Member & Chief Marketing Officer di Cyberoo –. La pressione è continua e gli aggressori dettano il ritmo. Le aziende si trovano a inseguire un contesto che cambia velocemente e proprio per questo un monitoraggio costante, con capacità di rilevazione e risposta in tempo reale, e con tecnologie e competenze aggiornate, è diventato indispensabile”.
Un controllo continuo richiede anche persone preparate. La tecnologia, da sola, copre solo una parte del lavoro. Bisogna prevedere, distinguere, analizzare, capire quali segnali contano davvero e quali rientrano nel rumore di fondo. Qui entrano competenze che si aggiornano continuamente e che permettono di far lavorare anche gli strumenti più evoluti dentro una regia fatta di ingegneri, specialisti e professionisti esperti.
La paura del fermo operativo muove gli investimenti in security
L’obiettivo principale è evitare il fermo operativo. Un ransomware può bloccare la produzione per giorni o settimane, ritardare le consegne, causare perdite di dati e aprire conseguenze legali o normative. In altri casi il danno passa da identità compromesse e accessi in apparenza legittimi, proprio dove le difese tradizionali fanno più fatica.
Sono tre i motivi principali che portano a investire in security. Il primo è aver vissuto un incidente, o esserci andati molto vicino, il secondo è la pressione normativa e di filiera, con richieste che arrivano da NIS2, DORA, GDPR, partner e clienti mentre il terzo è la presa di coscienza che prima o poi un attacco può arrivare, quindi conviene farsi trovare pronti.
“Quando il cliente arriva a questa consapevolezza – spiega Leonardi – cambia anche il modo in cui guarda alla sicurezza. Non chiede solo uno strumento in più, ma un presidio che lo aiuti a capire cosa sta succedendo, a dare priorità agli eventi e a intervenire prima che l’attacco produca un danno”.
Da qui si capisce perché oggi le aziende guardino sempre meno al singolo prodotto e sempre più al servizio. Molte hanno già antivirus, firewall, soluzioni per proteggere gli endpoint, sistemi di email security e altri strumenti di base. A fare la differenza è la capacità di farli funzionare insieme, raccogliere segnali diversi, collegarli tra loro, ridurre i falsi allarmi, capire quali anomalie contano davvero e seguire l’evento fino alla gestione e alla risoluzione.
LEGGI ANCHE: SOC in Italia: come sono, di chi sono, per chi sono e dove sono
Nel DNA di Cyberoo una predisposizione al servizio a valore
Il percorso di Cyberoo parte proprio da questa esigenza. Le prime attività risalgono al 2008 e nascono nell’IT tradizionale. Il lavoro a stretto contatto con le aziende mostra subito che le imprese cercano qualcosa di più della tecnologia. Cercano qualcuno che la segua nel tempo, la faccia funzionare bene e presidi ciò che gli strumenti, da soli, faticano a governare. Dal 2011 arrivano i servizi di Device Management, mentre nel 2015 l’offerta si sposta verso il modello Managed Security Service Provider e la cybersecurity diventa il centro dell’attività.
“Non si trattava di aggiungere un altro prodotto al catalogo, ma di stare accanto al cliente nel tempo – spiega Leonardi –. La sicurezza richiede continuità, metodo, capacità di capire cosa succede e di intervenire quando qualcosa cambia. Da qui è nato il nostro percorso come MSSP”.
Nel 2019 nasce il brand Cyberoo, che consolida il posizionamento come vendor di cybersecurity con soluzioni proprietarie e un SOC operativo. L’I-SOC diventa il centro da cui monitorare, rilevare e gestire le minacce, aiutando le organizzazioni a rispondere in tempo reale a un problema difficile da affrontare da sole.
Nel modello Cyberoo il valore sta nella capacità di seguire tutto il percorso dell’attacco, dalla sua individuazione fino alla mitigazione. Da questa impostazione nasce la Cyber Security Suite dell’azienda, costruita attorno a un’offerta di Managed Detection & Response integrata con l’i-SOC attivo 24 ore su 24. La suite comprende Cypeer per la detection, CSI per la Cyber Threat Intelligence, Keatrix per la Security Awareness, Titaan Neemesi per compliance e gestione dei log, oltre a servizi di consulenza come Incident Response, Risk Assessment, vCISO, Penetration Test e supporto normativo.
Per Cyberoo il SOC entra quindi nella gestione del rischio cyber, mettendo in relazione infrastruttura, processi, persone e requisiti regolatori. “Il nostro fine ultimo – puntualizza Leonardi – è gestire il rischio cyber delle aziende clienti in tutte le sue componenti, mettendo insieme detection, intelligence, compliance, awareness e risposta”.
La piattaforma MDR segue la stessa logica. È costruita per lavorare con tecnologie diverse e integrarle in un unico flusso di analisi. Il cliente può mantenere gli strumenti già presenti, cambiarli nel tempo e continuare a far confluire nel sistema tutte le fonti utili. Antivirus, firewall, EPP, EDR, IDS, email security, strumenti cloud e altre soluzioni alimentano lo stesso processo di controllo. I dati vengono raccolti nel cloud proprietario di Cyberoo, normalizzati, arricchiti con indicatori di compromissione, correlati con AI e analizzati con modelli di behavior analysis basati su machine learning. Da segnali molto diversi prende forma una vista unica dell’infrastruttura IT, utile agli analisti per intercettare minacce anche nelle fasi iniziali.
“L’agnosticità per noi è fondamentale, perché il valore del SOC cresce quando riesce a lavorare dentro ecosistemi eterogenei senza imporre sostituzioni o lock-in – precisa Leonardi –. Le nostre soluzioni arricchiscono l’ecosistema del cliente e diventano il cuore operativo del presidio, mettendo in relazione tutto ciò che prima restava separato”.
Il SOC valorizza così le tecnologie già presenti in azienda, dà ordine ai segnali che arrivano da strumenti diversi e rende il controllo più continuo, più chiaro e più vicino a ciò che accade nell’infrastruttura.
Il ruolo dell’intelligenza artificiale
L’intelligenza artificiale fa parte del MDR di Cyberoo fin dall’inizio. In una prima fase ha aiutato soprattutto a gestire grandi quantità di eventi, collegare segnali diversi e ridurre i falsi allarmi. Con minacce sempre più complesse, il suo ruolo è cresciuto. Oggi automatizza una parte del triage, affianca gli analisti nella detection, suggerisce azioni di remediation e aiuta il SOC a riconoscere prima alcuni schemi di attacco. “L’intelligenza artificiale è sempre stata al cuore del nostro servizio MDR – conferma Leonardi –. Oggi lo è ancora di più, perché il contesto è diventato più complesso e anche gli attaccanti usano automazione e AI generativa. Per noi significa spingere ancora di più su automazione intelligente e capacità predittiva, così da rendere il SOC più efficiente, più proattivo e più veloce”.
Il modello SOC dell’azienda poggia su automazione, AI e livelli progressivi di analisi. I cyber security analyst dell’i-SOC gestiscono la prima valutazione e risolvono circa l’80% dei casi. Il secondo livello, h-SOC, segue investigazioni più approfondite e attività specialistiche, pari in media al 15% dei casi rilevati. Il terzo livello, α-SOC, si occupa degli eventi più complessi in fase di pre-incidente e riguarda meno del 5% del totale. A valle opera il team di Incident Response, che interviene quando l’attacco ha già prodotto un danno.
I numeri del SOC Cyberoo
Il monitoraggio è continuo, con turnazioni per coprire notti, fine settimana e festivi. Oggi Cyberoo opera con quattro Security Operations Center in Europa, a Reggio Emilia, Ternopil, Varsavia e Tirana, coordinando più sedi e un team di oltre 140 cybersecurity specialist.
I numeri del 2025 mostrano il funzionamento di questo modello. Il volume degli eventi monitorati dall’i-SOC è raddoppiato rispetto all’anno precedente, arrivando a oltre 1.935 trilioni di eventi, pari a più di 61 mila eventi al secondo, su un campione di 700 clienti midsize europei. Dalla massa complessiva dei segnali, solo lo 0,000093% è diventato allarme e, di questi, meno del 3% ha richiesto un’escalation reale. Il SOC ha ridotto le escalation del 60%. Il tempo medio per gestire eventi classificati come non incidenti è stato di 1 ora e 48 minuti, mentre per gli incidenti veri e propri il team di Incident Response ha registrato una risoluzione media di 4,1 giorni, valore che Cyberoo confronta con una media mondiale di 21 giorni.
“Oggi il punto non è accumulare visibilità, ma trasformare una massa enorme di segnali in azioni rapide e mirate – spiega Leonardi –. Un SOC funziona quando sa far emergere ciò che conta davvero, riduce il rumore, indirizza bene le escalation e accompagna il cliente fino alla mitigazione”.
Target diversi, esigenze diverse che portano alla scelta dei servizi gestiti
Costruire internamente una funzione di questo tipo resta impegnativo per molte aziende, molte delle quali hanno una maturità cyber ancora limitata, altre invece sono più consapevoli ma vincolate da budget e personale, e organizzazioni più mature che scelgono servizi gestiti per estendere la copertura h24, usare una threat intelligence più ampia o gestire picchi di attività.
È soprattutto nel segmento mid-market che Cyberoo vede oggi lo spazio maggiore.
“Le medie imprese hanno esigenze di protezione molto vicine a quelle delle grandi aziende, ma raramente hanno la stessa disponibilità di risorse interne – osserva Leonardi –. In questo spazio il servizio MDR e il SOC gestito rispondono bene, perché permettono di attivare rapidamente detection, response e competenze specialistiche in una forma sostenibile”.
Anche la normativa spinge in questa direzione. Per Cyberoo, NIS2, DORA e GDPR stanno entrando sempre più spesso nelle strategie di sicurezza e nella scelta di un servizio gestito. La conformità si lega alla continuità operativa e diventa un elemento di affidabilità verso clienti e partner. Per questo il SOC integra la compliance nei processi di monitoraggio, raccolta e conservazione dei log, gestione degli accessi, reportistica e consulenza. Minacce e adempimenti vengono così trattati come parti dello stesso rischio, con un presidio che protegge l’azienda e la aiuta a mantenere sotto controllo anche gli obblighi normativi.
Il cliente è parte integrata di un progetto che evolve
Il rapporto con il cliente passa attraverso mail, telefonate e un portale dedicato, con dashboard e report in tempo reale. Il Project Manager segue la fase iniziale di integrazione e mappatura del rischio, mentre il Security Advisor Manager incontra il cliente ogni trimestre per individuare le principali aree di miglioramento. Il SOC diventa così un presidio che dialoga con l’azienda, la aiuta a capire meglio il proprio rischio e la accompagna nel tempo, contribuendo a migliorare la postura complessiva e non solo a chiudere il singolo alert.
La costruzione di un servizio SOC passa anche dalle competenze e dal canale. Un presidio attivo h24 richiede persone preparate, processi maturi e una copertura continua, elementi che molte aziende e molti partner fanno fatica a creare da zero. Cyberoo lavora su questo fronte con più sedi europee, percorsi di specializzazione e formazione interna, che portano i nuovi assunti a diventare operativi in quattro-sei mesi. Per system integrator e telco, appoggiarsi a un vendor già operativo permette invece di offrire rapidamente ai clienti un servizio strutturato, mantenendo il proprio ruolo su consulenza, integrazione e progetti di sicurezza.
La difficoltà di costruire un SOC da zero aiuta anche a capire come potrà evolvere il mercato. La selezione secondo Cyberoo tenderà a premiare gli operatori capaci di garantire davvero un presidio h24, con persone preparate, processi rodati e tecnologie che aiutano a gestire volumi sempre più grandi di segnali. E con l’automazione che sarà sempre più parte del servizio.
Per quanto riguarda Cyberoo “l’i-SOC continuerà a essere il cuore operativo della nostra offerta, ma sarà sempre più integrato con compliance, formazione, threat intelligence e incident response. La tecnologia farà crescere capacità predittiva e automazione, mentre le persone avranno un ruolo ancora più forte nell’indirizzare decisioni, postura e percorso di maturazione del cliente” conclude Leonardi.
